清查出口設備上內網IP 數量異常

■ 湖南工業大學現代教育技術中心 郭兆宏

編者按：學校網絡因各種設備及人數的龐大而容易出現各類問題，本文講解了筆者遇到出口設備上內網IP 數量出現異常并進行了清查。

2019 年底筆者發現學校辦公出口上的IP 數量一直非常多，每天的峰值在7500 個左右，總有用戶打電話反映網速慢。筆者每天一上班檢查出口設備時都有4000～6000 個IP 在線，有幾次晚上24 點后查看還有2500～4000 個IP 在線。

這非常不正常，且辦公出口天天滿載。辦公出口網絡是電信600 Mbps+聯通300 Mbps+教育網10 Mbps，限速是每IP 為6 Mbps+6 Mbps。學校只有2 500 位用戶，且很多用戶只有上班時才來單位，且有些學院使用的是運營商網絡。雖然很多學院都有機房，但只能大致估計有4 000～8 000 臺機房電腦。還有些學生帶電腦在教室、實驗室、圖書館使用網絡。學校教學辦公區整體電腦可能有1 萬臺左右，但同時在線IP 估計在5 000 個左右。

因學生帳號可以在教學辦公區用，因此按IP 段查到的數據并不準確。學校認證是統一的，每天同時認證人數峰值穩定在22 000 個左右，按老師分組認證的只有2 000 個IP，老師一個帳號可以在線三臺設備，到底7 500個IP 都是哪里的？

因在辦公出口EG3000 只會統計在線總數sh online statistics globa，不會在辦公出口進行分組統計。筆者只好通過用戶轉移的方式進行查看。

辦公區認證用戶的轉移

因學校網絡是通過認證分組，再選擇不同出口出去的，老師們的分組通過默認的辦公出口，學生可以選電信、聯通或移動運營商，然后根據所選不同分組的不同規則從三家運營商出口出去。因學生帳號可以在學校所有區域使用，老師帳號只能在教學辦公區使用，所以只按IP地址段查詢數量在教學辦公區有些IP 是學生用的，并不準確。

通過使用認證統計，老師有20 多個分組是歷史原因造成，一直只增加而未合并減少過分組。且有部分學生使用老師的帳號，也不好統計。正好辦公出口網絡滿載，筆者想通過認證用戶轉移的方式進行大致統計，將老師認證分組移置到一家運營商出口看看。筆者開始只將幾個老師分組的出口轉移到某一個運營商上面，并使用原有的一個帶寬策略。當時做完之后發現只轉移了部分用戶，還有部分用戶還是在辦公出口上，用戶需要重新認證后才可以轉移新出口B上。因是臨時統計用的轉移出口，不好發通知，等到一兩天后才發現認證用戶基本都轉移到新出口上了。但新的問題來了，即網管認證的帳號無法管理辦公出口設備，只能再建一個老師分組走辦公出口給網管使用，網管使用多個不同出口的帳號。

同時統計發現，在B 出口上轉移過來的老師用戶較多，但還是有學生帳號不便于統計數量。于是筆者再建一個B 出口上的Y 帶寬策略，將老師帳號都從該Y 策略出去，并把所有老師及機房分組全走Y 策略。運行幾天后統 計sh user-group，Y 帶寬策略的用戶一般在2 000個帳號左右，通過sh usergroup Y 來查看詳情，都是教學辦公區的帳號，包括有線網的IP 和無線網的IP，且有線網IP 都是教學辦公區的IP 段的地址。

這樣，筆者基本搞清了教學辦公區認證的帳號基本穩定在2 000 個左右，范圍在1 500～2 500 之間，當然不同時間段用戶數量有所差別，基本符合情況。平常老師一般在500～1 000 人左右在線，一些老師同時使用有線和無線在線，認證機房帳號有1 000 個左右，這與認證信息里是一致的。

再看辦公出口設備上，還有4 000～5 500 個IP 在線，為什么還有么多IP 在線？同時筆者發現大量IP 都是無線網的。

無線用戶強制轉移

因為無線網絕大部分都是認證的，雖然有的無線網SSID 是使用密碼的，但這部分用戶數量極少，不超過200個IP。而在辦公出口認證帳號轉移到B 出口后，還有大量無線IP 在線，至少還有幾千個無線網的IP 地址在線，原因不明。

筆者找到幾個辦公出口的無線網IP 地址，在認證中查詢此IP 的帳號，都不是在線用戶。筆者只好在認證的歷史記錄中查詢，經查基本是學生帳號使用的，且都是C運營商的，在辦公出口設備上能查到這些IP 的流表，從而確定了從辦公出口經過了大量的學生帳號的無線網數據，這非常不正常。

通過試用幾個帳號在無線網登錄，有一個成功了，經查出口為C 運營商的，而在辦公出口查不到此IP 地址。這可能與網絡結構有關，從核心交換機到分6 條線路接入三家運營商路由器，C 路由器接入辦公出口EG3000。辦公出口是默認的最后出口，也可能是策略做得還有些問題，C 運營商部分用戶的默認不認證無線網IP 從辦公出口出去了，占用了本來就緊張的辦公出口帶寬。

于是筆者就在C 出口上強制轉移無線網段172.M.X.X 和172.N.X.X 的地址經過C 出口。然后筆者回到辦公出口查看，基本沒有無線網IP 地址在線了，辦公出口IP數量只有2 000～2 500 個左右，轉移走了2 000～3 000個IP 地址。再查辦公出口在線的一些IP 地址，在認證中都查不到認證記錄，歷史記錄也沒有。

這些都是不認證的IP，沒想到有這么多！有服務器段的不需認證，有一些用戶及機房是不認證的。另外是老校區，因網絡中心無人在老校區上班，網絡基本是維持了10 年前的情況，絕大部分一直無認證。還有老校區一些樓棟房間出租出去了，老校區到底有多少網絡用戶一直不清楚。

因運營商的設備不歸學校管，雖然有設備密碼，平時基本不再登錄查看。筆者想改進策略，剛準備修改C 出口設備的策略，不巧C 運營商二次認證不通了。因無法直接聯系相關人員，等傳遞出C 運營商二次認證不通的信息三天后才恢復正常。后來辦公出口擴容以及大環境有變，辦公帶寬一時夠用，未再改動學生出口策略。

老校區IP 地址的轉盤轉移

筆者想了解老校區用戶有究竟多少，通過“sh usergroup Y | in 172.H.X.X”命令查詢只有幾十個IP。筆者按IP 地址轉移，將172.P.X.X 和172.O.X.X 轉移到C 出口上，再回到辦公出口上查看，只減少幾百IP 地址。因到學期期末，有些機房已經關閉，還有一些電腦開得少了。筆者感覺轉移后減少的數量太小，可能要等開學后再統計才準確些。

之后因疫情原因很多機房、實驗室未開門，筆者未能再做IP 出口轉移試驗。

部分有線用戶的強制轉移

但筆者沒想到，教學辦公區不認證的IP 數量比認證的還多。為了更好地查看辦公出口IP 的數量及用戶段，筆者將T 機房約250 個IP地址轉移到C 出口上，再到辦公出口查看，基本維持在2 000 個IP 左右，早晨上班時查看在1 500 左右，峰值在2 200 個。

但筆者也發現一個問題，有些機房平時并未開放，工作時間統計的IP 數量不并準確。期末的某天有人反映網絡特別慢，筆者到辦公室發現因之前停電，造成一臺老的上網行為管理設備不能正常工作，造成這個學院的機房網絡慢。當設置跳過該設備后，學院機房網絡恢復正常。這時發現辦公出口上在周日10 點左右還有2 300個IP 在線，比平時上班時間的在線IP 還多些。

結語

去年底，因辦公區出口在線IP 數量有7 500 個左右，筆者感覺不正常。于是筆者通過出口轉移的方式，先將辦公教學區認證用戶的出口轉移到C 出口，發現轉移了約2 000～2 500 個IP。再次將辦公出口上的無線IP地址轉移到C 出口上，發現轉移了約2 000～3 000 個IP。同時筆者發現這些IP里基本是學生的帳號使用用的IP，但不是在線用戶。這些IP 地址不應走辦公出口，可能是網絡結構及出口策略有問題，等以后有機會還得想辦法解決。辦公出口上不認證的有線網在線IP 地址約2 500 個，但有些機房平時不開放，數據還有些變化，辦公區不認證的IP 比認證的IP 數量還多些，這也是多種原因及歷史造成的，以后還要強化認證。這樣基本了解7 500 個在辦公出口的在線IP 的分類情況：2 000 個認證IP+3 000 個學生無線IP+2 500 個不認證IP。

之前寒假時辦公出口電信擴容到1 Gbps，教育網由虛擬變成實體線路V6 線路1 Gbps。因上網人數較少，網絡恢復原狀不再轉移用戶。之后因疫情原因，教室、機房和實驗室都未開放，平常認證人數為100～1 500 人，辦公出口IP 為400～2 300 個，每個IP 限速為20 Mbps+20 Mbps+15 Mbps 后，辦公出口帶寬只用到20 Mbps～450 Mbps，估計要等學校能正常運行后才能更好地統計辦公出口IP 分類情況。